我正在尝试一种安全的方式来确保用户登录到我的react应用程序中。当前,当用户登录时,我会将他的用户id保存到本地存储中。过了一段时间,我发现这还不够保存,因为你只需要打开dev工具并eddit本地存储的值。那么,我该如何做到这一点,这样你就不能输入某人的用户id并以所选用户的身份登录呢?我在谷歌上搜索了一下,发现你可以用饼干。我也计划这样做,但我也查看了开发工具,发现编辑它们也是可能的。所以我认为我需要更改代码中的一些内容,可能是一个额外的令牌或编码的用户id或其他什么。但我真的不知道如何处理这个问题,这样它才真正安全?希望至少有人能给我指明正确的方向。非常感谢你的每一个回答。
在本地存储或cookie中保存令牌(例如JWT(确实如此,这不是处理用户会话的安全方式。因为使用JavaScript,可以与cookie的本地存储进行交互(如果它们是而不是httpOnlycookie(。
那么,处理用户会话的最佳方式是什么
-
您想要探索的解决方案是服务器端会话cookie
-
因此,服务器端会话cookie将由您的专用服务器制作,并让它在您的浏览器中设置cookie,并将其标记为httpOnly。
-
因此,根据这一说法,编写的任何脚本都不能与该cookie交互,因为它是httpOnly cookie
如果同时使用React和Node:
- 如果您使用这两种方法,我建议您查看Express会话